WannaCry ist eine Ransomware, die am 12. Mai 2017 in freier Wildbahn aufgetaucht ist und sich schnell verbreitet hat, um über 200,000 Systeme in mehr als 150 Ländern zu infizieren.
Der WannaCry-Wurm, auch bekannt als WannaCrypt, WanaCrypt0r, WCrypt und WCRY, nutzt einen bestimmten Exploit im Microsoft Server Message Block (SMB) -Protokoll mit dem Codenamen „EternalBlue“ und verwendet Phishing-E-Mail-Betrugstaktiken, um ältere, nicht gepatchte Microsoft Windows-Systeme zu infizieren .
Möglicher Schaden von WannaCry durch Sicherheitspatch und Kill Switch gemindert
Microsoft hat die SMB-Sicherheitslücke "EternalBlue" in einem am 14. März veröffentlichten Update-Hinweis (MS17-010) behoben, obwohl dies zu diesem Zeitpunkt nur für Windows 10 galt. WannaCry wurde jedoch für nicht gepatchte Windows 7- und Windows Server 2008- und frühere Betriebssysteme entwickelt.
Nach der Entdeckung von WannaCry in freier Wildbahn erweiterte Microsoft den neuen SMB-Patch, um zusätzlich die Betriebssysteme Windows XP, Windows 7, Windows 8 und Windows Server 2003 abzudecken.
Während diese Sicherheitspatches dazu beigetragen haben, die potenzielle Verbreitung von WannaCry zu verringern, sind viele Windows-Systeme in Bezug auf aktuelle Sicherheitspatches veraltet und daher weiterhin anfällig für Ransomware wie WannaCry und andere Malware.
Der potenzielle Schaden von WannaCry wurde auch durch den Auslöser eines im WannaCry-Code enthaltenen „Kill-Schalters“ gemindert. Der WannaCry-Code wurde entwickelt, um zu versuchen, eine Verbindung zu einer bestimmten Domäne herzustellen und nur Systeme zu infizieren und sich weiter zu verbreiten, wenn die Verbindung zur Domäne nicht erfolgreich ist. Seit seiner Entstehung in freier Wildbahn wurde der Domainname im WannaCry registriert und eingerichtet, was zu einer Begrenzung der weiteren Verbreitung und Schädigung des ursprünglichen WannaCry-Stammes führte.
Wie WannaCry funktioniert und sich verbreitet
WannaCry besteht aus zwei Hauptkomponenten: einem Dropper-Trojaner, der versucht, die SMB-Sicherheitslücke auf älteren, nicht gepatchten Windows-Systemen und der Ransomware selbst auszunutzen.
Mit WannaCry infizierte Systeme werden verwendet, um zu versuchen, andere nicht gepatchte Windows-Systeme im lokalen Netzwerk sowie über das Internet zu infizieren.
Auf infizierten Computern verschlüsselt WannaCry alle gefundenen Dateien und benennt sie mit der Erweiterung .WNCRY um. WannaCry erstellt dann in jedem Verzeichnis eine Lösegeldnachricht und ersetzt das Hintergrundbild durch eine Lösegeldnachricht, in der Benutzer aufgefordert werden, 300 US-Dollar in Bitcoin-Währung zu zahlen, damit alle ihre Dateien entschlüsselt und wieder normalisiert werden.
Schutz vor WannaCry und anderen Ransomware- / Malware-Angriffen
Um Systeme vor WannaCry und anderen Formen von Ransomware und Malware zu schützen, empfiehlt Microsoft ein Upgrade auf Windows 10, das für die WannaCry / WannaCrypt-Varianten nicht anfällig ist.
Benutzer werden außerdem aufgefordert, das SMB-Sicherheitsupdate auf älteren Windows-Systemen zu installieren und über den Windows Update-Dienst auf allen Sicherheitspatches und -updates auf dem neuesten Stand zu bleiben.
Darüber hinaus können Benutzer SMB bei Bedarf speziell deaktivieren, indem sie den Anweisungen in diesem Dokument folgen Microsoft Knowledge Base-Artikel oder beschränken Sie den SMB-Verkehr, indem Sie eine Regel auf dem Netzwerkrouter oder der Software-Firewall hinzufügen, um den eingehenden SMB-Verkehr auf Port 445 zu blockieren.